Firefox und Thunderbird: Neue Versionen liefern Sicherheitsfixes
Neue Versionen von Firefox, Firefox ESR und Thunderbird stehen bereit. Sie dichten im Kern Sicherheitslücken ab.
Sicherheitslücken in Firefox gefährden Nutzerinnen und Nutzer.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die Webbrowser Firefox, Firefox ESR und das Mailprogramm Thunderbird hat die Mozilla-Stiftung plangemäß in neuer Version veröffentlicht. Neue Funktionen sind eher weniger enthalten, aber diverse sicherheitsrelevante Schwachstellen haben die Entwickler darin ausgebessert.
Die Sicherheitsmitteilung zu Firefox 123 listet vier hochriskante Sicherheitslecks, sechs von mittlerem Bedrohungsgrad und zwei als niedrig eingestufte auf, also insgesamt zwölf Schwachstellen. Angreifer könnten außerhalb vorgesehener Speichergrenzen in den "Networking Channels" lesend zugreifen. Beim Speichern in und erneuten Zugreifen auf einen Networking Channel konnte die Länge von Puffern durcheinander geraten, erläutern die Entwickler (CVE-2024-1546, kein CVSS, Risiko laut Mozilla "hoch").
Mozilla: Mehrere hochriskante Schwachstellen
Eine weitere Lücke erlaubt Angreifern durch eine Reihe an API-Aufrufen und -Umleitungen, einen Warnungs-Dialog auf fremden Webseiten zu fälschen. Dabei wird sogar die URL der Opfer-Webseite angezeigt (CVE-2024-1547, kein CVSS-Wert, hoch). Dazu kommen Sicherheitslücken durch Speicherverwaltungs-Probleme, die ausschließlich Firefox vor 123 betreffen (CVE-2024-1557, kein CVSS, hoch) sowie solche, die zudem auch Sicherheitslöcher in die Vorgängerversionen von Firefox ESR und Thunderbird 115.8 reißen (CVE-2024-1553, kein CVSS, hoch).
Die ersten beiden hochriskanten Schwachstellen finden sich ebenfalls laut Sicherheitsmitteilung in Firefox ESR vor 115.8, auch in Thunderbird vor Version 115.8 sind sie laut Sicherheits-Advisory vorhanden. Von den sechs mittelschweren Lecks finden sich vier auch in den Extended Stable Releases (ESR) und eine von den beiden niedrig eingestuften Schwachstellen.
Die neuen Funktionen in Firefox sind etwas speziell: Die Suche ist nun in Firefox View verfügbar, wodurch die Suche alle Tabs sowie kürzlich besuchte Seiten, geschlossene Tabs, Tabs auf weiteren Geräten oder den Browserverlauf einbezieht. Für die Meldung von Problemen mit Webseiten, die in anderen Browsern funktionieren, nicht jedoch in Firefox, sollen Nutzerinnen und Nutzer das Web Compatibility Reporting Tool nutzen können. Bei der Übersetzung von Webseiten liefert Firefox jetzt auch in Zielsprache transformierte Tooltips und Texte auf Formular-Feldern und -Knöpfen zurück.
Die Release-Notes zu Thunderbird 115.8 fallen etwas umfangreicher aus, hier gab es diverse Fehlerkorrekturen. So wurde Thunderbird signifikant langsamer, wenn es E-Mails im .eml-Format öffnete. Die Posteingang-Ansicht änderte sich wieder auf Standardeinstellungen, nachdem Nachrichten bewegt oder gelöscht wurden. Zudem schloss die Größe zusammengeklappter Ordner im Ordner-Bereich die Größe der Unterordner nicht mit ein. Diverse weitere kleine Zipperlein sind dort aufgelistet, die das Update korrigiert.
Aktualisierungsstatus prüfen
Rechts von der Adressleiste findet sich ein Symbol mit sogenanntem "Hamburger-Menü"; drei waagerechten Strichen. Das öffnet das Browser-Menü, wo sich unter "Hilfe" – "Über Firefox" (respektive "Über Thunderbird") der Versionsdialog befindet. Der zeigt die aktuell laufende Versionsnummer an und lädt bei Verfügbarkeit die Aktualisierung herunter. Nach der Installation fordert der Dialog dann zum Browser-Neustart auf, durch die das Update aktiv wird.
(Bild: Screenshot / dmk)
Die Version 122 von Firefox aus dem Januar dieses Jahres brachte Erweiterungen beim Passkey-Support und verbesserte Bedienung. Sie schloss aber auch diverse Sicherheitslücken, ebenso wie die Thunderbird 115.7-Version gleichen Datums.
(dmk)
